AD Tier-0 Güvenliği – Kontrol Listesi

Active Directory Tier-0 varlıkları (Domain Controller, AD Schema Master, Enterprise Admins gibi) kurumun en kritik kaynaklarıdır. Bu varlıkların güvenliği sağlanmadığında tüm AD altyapısı ve kurumsal sistemler ciddi risk altına girer. Bu rehber, Tier-0 güvenliği için uygulanması gereken temel adımları ve kontrol noktalarını sunar.

1. Domain Controller Güvenliği

DC’leri fiziksel ve sanal olarak izole edin.
Yalnızca yönetim iş istasyonlarından erişim sağlayın.
Güvenli Boot ve BIOS parola koruması uygulayın.

2. Admin Hesap Yönetimi

Tier-0 hesaplarını ayrı bir yönetim hesabı ile yönetin.
Multi-Factor Authentication (MFA) zorunluluğu.
Admin hesaplarının günlük işlerde kullanılmaması

3. LAPS (Local Admin Password Solution)

Lokal admin parolalarını otomatik oluşturun ve periyodik olarak değiştirin.
GPO ile LAPS ayarlarını tüm DC ve kritik sunuculara uygulayın.

4. GPO ve SYSVOL Güvenliği

SYSVOL üzerinde izinleri sıkılaştırın.
GPO’ların değiştirilme loglarını takip edin.
SMB Signing ve NTLMv2 zorunluluğu uygulayın

5. Tier-0 Asset Envanteri

Tüm Tier-0 varlıklarını envanterleyin.
Düzenli güvenlik taramaları ve log denetimi yapın.
Olağan dışı aktiviteleri SIEM ile izleyin.

Sonuç / Özet:

Tier-0 güvenliği, Active Directory’nin bütünlüğünü ve kurumun kritik varlıklarının korunmasını garanti altına alır. Bu kontrol listesi düzenli olarak gözden geçirilmeli ve yeni güvenlik tehditlerine göre güncellenmelidir.